Esta secção descreve os vários métodos de segurança utilizado para ajudar a proteger as redes WiFi.
Autenticação 802.1X (Segurança empresarial)
A rede sem fios, se não estiver protegida, está vulnerável ao acesso de outros computadores. Pode proteger facilmente a rede doméstica e de pequeno negócio de quase todas as formas de acesso não autorizado com os métodos de segurança descritos nesta secção.
A autenticação é o processo de identificação e aprovação de um pedido de um cliente (geralmente um computador portátil) para aceder a uma rede num ponto de acesso de rede. Assim que a autenticação estiver concluída e o acesso for concedido, o cliente tem acesso à rede.
Pode seleccionar os algoritmos de encriptação para encriptar as informações e os dados enviados através da rede sem fios. Apenas os computadores com chaves pré-partilhadas podem encriptar e desencriptar os dados transmitidos. As chaves de encriptação estão disponíveis com dois níveis de segurança, 64 bits e 128 bits. Utilize as chaves de 128 bits para maior segurança.
Uma forma simples para melhorar a segurança de rede é definir o ponto de acesso de rede para não transmitir o SSID. O SSID é necessário para obter acesso. Apenas os computadores que saibam o SSID podem aceder à rede. (Este não é definido no adaptador com o Utilitário de Ligação WiFi Intel(R) PROSet/Wireless, é definido no ponto de acesso.)
A norma IEEE 802.11 suporta dois tipos de métodos de autenticação de rede: Sistema aberto e Chave partilhada.
O WEP (Wired Equivalent Privacy) utiliza a encriptação para ajudar a evitar a recepção não autorizada de dados sem fios. O WEP utiliza uma chave de encriptação para encriptar dados antes de os transmitir. Apenas os computadores que utilizem a mesma chave de encriptação podem aceder à rede e desencriptar os dados transmitidos por outros computadores. A encriptação WEP proporciona dois níveis de segurança que utilizam uma chave de 64 bits (por vezes denominada de 40 bits) ou uma chave de 128 bits (também denominada de 104 bits). Para maior segurança, deve utilizar uma chave de 128 bits. Se utilizar a encriptação, todos os dispositivos sem fios da rede sem fios têm de utilizar as mesmas chaves de encriptação.
Com a encriptação de dados WEP, é possível configurar uma estação sem fios com um máximo de quatro chaves (os valores do índice das chaves são 1, 2, 3 e 4). Quando um ponto de acesso (AP) ou uma estação sem fios transmite uma mensagem encriptada que utiliza uma chave guardada num determinado índice de chave, a mensagem transmitida indica o índice de chave utilizado para encriptar o corpo da mensagem. O ponto de acesso receptor ou a estação sem fios receptora poderá então obter a chave que está guardada no índice de chave e utilizá-la para descodificar o corpo da mensagem encriptada
Dado que o algortimo da encriptação WEP é vulnerável ataques de rede, deve consoderar a utilização da segurança WPA-Pessoal ou WPA2-Pessoal.
O modo WPA-Pessoal é destinado aos ambientes domésticos e de pequenas empresas. O WPA Pessoal requer uma configuração manual de uma chave pré-partilhada (PSK) no ponto de acesso e nos clientes. Não é necessário qualquer servidor de autenticação. A palavra-passe introduzida no ponto de acesso tem de ser também utilizada neste computador e em todos os outros dispositivos sem fios com acesso à rede sem fios. A segurança depende da força e do secretismo da palavra-passe. Quanto maior for a palavra-passe, mais forte será a segurança da rede sem fios. Se o ponto de acesso sem fios ou o router suportar WPA-Pessoal e WPA2-Pessoal, active-o no ponto de acesso e especifique uma palavra-passe longa e forte. O WPA-Pessoal disponibiliza os algortimos de encriptação de dados TKIP e AES-CCMP.
O WPA2-Pessoal requer uma configuração manual de uma chave pré-partilhada (PSK) no ponto de acesso e nos clientes. Não é necessário qualquer servidor de autenticação. A palavra-passe introduzida no ponto de acesso tem de ser também utilizada neste computador e em todos os outros dispositivos sem fios com acesso à rede sem fios. A segurança depende da força e do secretismo da palavra-passe. Quanto maior for a palavra-passe, mais forte será a segurança da rede sem fios. O WPA2 é uma melhoria do WPA e implementa a norma IEEE 802.11i completa. O WPA2 é compatível com o WPA. O WPA2-Pessoal disponibiliza os algortimos de encriptação de dados TKIP e AES-CCMP.
NOTA: O WPA-Pessoal e o WPA2-Pessoal são interoperáveis.
Esta secção descreve a segurança mais utilizada pelas grandes empresas.
Perspectiva geral
O que é o RADIUS?
Como funciona a autenticação 802.1X
Funcionalidades 802.1X
A autenticação 802.1X é independente do processo de autenticação 802.11. A norma 802.11 fornece uma estrutura para diversos protocolos de autenticação e gestão de chaves. Existem diferentes tipos de autenticação 802.1X, cada um proporcionando uma abordagem diferente à autenticação, mas utilizando o mesmo protocolo e a mesma estrutura 802.11 para comunicação entre um cliente e um ponto de acesso. Na maior parte dos protocolos, o cliente recebe uma chave que utiliza na encriptação de dados após a conclusão do processo de autenticação 802.1X. Consulte a secção Como funciona a autenticação 802.1X para obter mais informações. A autenticação 802.1X utiliza um método de autenticação entre o cliente e um servidor de serviço de autenticação remota para utilizadores de acesso telefónico (por exemplo, um servidor RADIUS (Remote Authentication Dial-In User Service)) ligado ao ponto de acesso. O processo de autenticação utiliza credenciais, como, por exemplo, uma palavra-passe do utilizador, que não são transmitidas através da rede sem fios. A maior parte dos tipos 802.1X suporta chaves dinâmicas por utilizador e por sessão para reforçar a segurança da chave. A autenticação 802.1X beneficia da utilização de um protocolo de autenticação existente denominado protocolo de autenticação extensível (EAP).
A autenticação 802.1X para redes sem fios tem três componentes principais:
A segurança de autenticação 802.1X inicia um pedido de autorização a partir do cliente sem fios para o ponto de acesso, que autentica o cliente junto de um servidor RADIUS compatível com o protocolo de autenticação extensível (EAP). Este servidor RADIUS pode autenticar o utilizador (através de palavras-passe ou certificados) ou o sistema (através do endereço MAC). Em teoria, o cliente sem fios só poderá juntar-se às redes depois de a transacção ser concluída. (Nem todos os métodos de autenticação utilizam um servidor RADIUS. O WPA-Pessoal e o WPA2-Pessoal utilizam uma palavra-passe comum que tem de ser introduzida no ponto de acesso e em todos os dispositivos que requeiram acesso à rede.)
Existem vários algoritmos de autenticados utilizados com a 802.1X. Alguns exemplos são: EAP-TLS, EAP-TTLS, PEAP (Protected EAP) e LEAP (EAP Cisco Wireless Light Extensible Authentication Protocol). São todos métodos que permitem ao cliente sem fios identificar-se junto do servidor RADIUS. Na autenticação RADIUS, as identidades dos utilizadores são verificadas em bases de dados. O RADIUS forma um conjunto de normas que resolvem a autenticação, a autorização e a contabilização (Authentication, Authorization and Accounting - AAA). O RADIUS inclui um processo de proxy para validar os clientes num ambiente multiservidor. A norma IEEE 802.1X fornece um mecanismo para controlar e autenticar o acesso a redes Ethernet sem fios ou com fios baseadas na porta 802.11. O controlo de acesso a redes baseadas em portas é semelhante a uma infra-estrutura de rede local (LAN) comutada que autentica os dispositivos ligados a uma porta de rede local e que impede o acesso a essa porta caso o processo de autenticação falhe.
O RADIUS é o serviço de autenticação remota para utilizadores de acesso telefónico, um protocolo AAA (Authorization, Authentication, and Accounting) de cliente/servidor que é utilizado quando um cliente AAA de acesso telefónico inicia ou termina a sessão num servidor de acesso à rede. Normalmente, um servidor RADIUS é utilizado pelos ISP (fornecedor de serviços Internet) para executar tarefas AAA. As fases AAA são descritas da seguinte forma:
Em seguida, encontra uma descrição simplificada de como a autenticação 802.1X funciona.
Os métodos de autenticação seguintes são suportados no Windows XP:
Consulte Autenticação aberta.
Consulte Autenticação partilhada.
Consulte WPA-Pessoal.
Consulte WPA2-Pessoal.
A autenticação de modo empresarial destina-se aos ambientes empresariais ou governamentais. O WPA Empresarial verifica os utilizadores da rede através de um servidor RADIUS ou de outro servidor de autenticação. O WPA utiliza chaves de encriptação de 128 bits e chaves de sessão dinâmicas para garantir a privacidade e segurança empresarial da rede. É seleccionado um tipo de autenticação que corresponde ao protocolo de autenticação do servidor 802.1X.
A autenticação WPA Empresarial destina-se aos ambientes empresariais ou governamentais. O WPA2 Empresarial verifica os utilizadores da rede através de um servidor RADIUS ou de outro servidor de autenticação. O WPA2 utiliza chaves de encriptação de 128 bits e chaves de sessão dinâmicas para garantir a privacidade e segurança empresarial da rede. É seleccionado um tipo de autenticação que corresponde ao protocolo de autenticação do servidor 802.1X. O modo empresarial destina-se aos ambientes empresariais ou governamentais. O WPA2 é uma melhoria do WPA e implementa a norma IEEE 802.11i completa.
Advanced Encryption Standard - Counter CBC-MAC Protocol. O novo método para proteger a privacidade das transmissões sem fios especificado na norma IEEE 802.11i. O AES-CCMP fornece um método de encriptação mais forte do que o TKIP. Escolha o AES-CCMP como método de encriptação de dados sempre que a protecção de dados forte for importante. O AES-CCMP está disponível com a autenticação de rede WPA/WPA2 Pessoal/Empresarial.
NOTA: Algumas soluções de segurança podem não ser suportadas pelo sistema operativo do computador e poderão necessitar de software ou hardware adicional, bem como de suporte de infra-estrutura de rede local sem fios. Contacte o fabricante do computador para obter mais detalhes.
O TKIP proporciona a mistura de chaves por pacote, uma verificação de integridade das mensagens e um mecanismo de regeração de chaves. O TKIP está disponível com a autenticação de rede WPA/WPA2 Pessoal/Empresarial.
Consulte CKIP.
O WEP (Wired Equivalent Privacy) utiliza a encriptação para ajudar a evitar a recepção não autorizada de dados sem fios. O WEP utiliza uma chave de encriptação para encriptar dados antes de os transmitir. Apenas os computadores que utilizem a mesma chave de encriptação podem aceder à rede e desencriptar os dados transmitidos por outros computadores. O WEP Empresarial não é exactamente igual ao WEP Pessoal, nesse pode seleccionar a autenticação de rede Aberta e, em seguida, clicar em Activar 802.1X e seleccionar qualquer tipo de autenticação de cliente. A selecção dos tipos de autenticação não está disponível no WEP Pessoal.
Um tipo de método de autenticação que utiliza o protocolo EAP (Extensible Authentication Protocol) e um protocolo de segurança chamado TLS (Transport Layer Security). O EAP-TLS utiliza certificados que utilizam palavras-passe. A autenticação EAP-TLS suporta a gestão dinâmica de chaves WEP. O protocolo TLS destina-se a proteger e autenticar as comunicações numa rede pública através da encriptação de dados. O protocolo de intercâmbio TLS permite ao servidor e ao cliente fornecerem autenticação mútua e negociarem um algoritmo de encriptação e chaves criptográficas antes da transmissão dos dados.
Estas configurações definem o protocolo e as credenciais utilizados na autenticação de um utilizador. No TTLS (Tunneled Transport Layer Security), o cliente utiliza o EAP-TLS para validar o servidor e criar um canal encriptado TLS entre o cliente e o servidor. O cliente pode utilizar outro protocolo de autenticação. Normalmente, os protocolos baseados em palavra-passe levam a cabo o desafio num canal encriptado TLS não exposto. As actuais implementações TTLS suportam todos os métodos definidos pelo EAP e outros métodos mais antigos (PAP, CHAP, MS-CHAP e MS-CHAP-V2). O TTLS pode ser facilmente expandido para funcionar com novos protocolos através da definição de novos atributos que suportem novos protocolos.
O PEAP é um novo tipo de autenticação IEEE 802.1X por EAP (protocolo de autenticação extensível) concebido para beneficiar do EAP-TLS (EAP-Transport Layer Security) do lado do servidor e para suportar diversos métodos de autenticação, incluindo palavras-passe do utilizador, palavras-passe únicas e placas token genéricas.
Uma versão do EAP (Extensible Authentication Protocol). O LEAP (Light Extensible Authentication Protocol) é um protocolo de autenticação extensível proprietário desenvolvido pela Cisco, que proporciona um mecanismo de autenticação por desafio-resposta e a atribuição de chaves dinâmicas.
O método do protocolo EAP (Extensible Authentication Protocol) para o módulo de identidade do assinante GSM (EAP-SIM) é um mecanismo de autenticação e de distribuição de chaves de sessão. Utiliza o módulo de identidade do assinante (SIM, Subscriber Identity Module) do sistema global para comunicações móveis (GSM, Global System for Mobile Communications) . O EAP-SIM utiliza uma chave WEP dinâmica baseada na sessão, que é derivada do adaptador do cliente e do servidor RADIUS, para encriptar os dados. O EAP-SIM requer a introdução de um código de verificação do utilizador, ou PIN, para comunicação com o cartão SIM (Subscriber Identity Module). Um cartão SIM é um cartão especial que é utilizado pelas redes celulares digitais baseadas no GSM (Global System for Mobile Communications). O RFC 4186 descreve o EAP-SIM.
O EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) é um mecanismo EAP para autenticação e distribuição de chaves de sessão, utilizando o USIM (Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (SIM)). O cartão USIM é um cartão inteligente especial utilizado com redes celulares para validar um determinado utilizador junto da rede.
O protocolo de autenticação por palavra-passe (Password Authentication Protocol) é um protocolo de handshake bidireccional concebido para ser utilizado com PPP. O PAP é uma palavra-passe em texto simples utilizada em sistemas SLIP mais antigos. Não é seguro. Apenas disponível para o tipo de autenticação TTLS.
O protocolo de autenticação de handshake por desafio (Challenge Handshake Authentication Protocol) é um protocolo de handshake de 3 vias que é considerado mais seguro do que o protocolo de autenticação por palavra-passe. Apenas disponível para o tipo de autenticação TTLS.
Utiliza uma versão Microsoft do protocolo de desafio e resposta RSA Message Digest 4. Isto só funciona em sistemas Microsoft e permite a encriptação de dados. Se seleccionar este método de autenticação, todos os dados serão encriptados. Apenas disponível para o tipo de autenticação TTLS.
Introduz uma característica adicional que não se encontra disponível com a autenticação MS-CHAP-V1 ou CHAP padrão, para alterar a palavra-passe. Esta característica permite ao cliente alterar a palavra-passe da conta, caso o servidor RADIUS comunique que a palavra-passe expirou. Disponível para os tipos de autenticação TTLS e PEAP.
Contém placas token específicas do utilizador para autenticação. A característica principal no GTC é a autenticação baseada em placas token/certificados digitais. Além disso, o GTC inclui a capacidade de esconder as identidades do nome do utilizador, até que o túnel encriptado TLS seja estabelecido, o que oferece uma segurança adicional em que os nomes do utilizador não são transmitidos durante a fase de autenticação. Apenas disponível para o tipo de autenticação PEAP.
O protocolo TLS destina-se a proteger e autenticar as comunicações numa rede pública através da encriptação de dados. O protocolo de intercâmbio TLS permite ao servidor e ao cliente fornecerem autenticação mútua e negociarem um algoritmo de encriptação e chaves criptográficas antes da transmissão dos dados. Apenas disponível para o tipo de autenticação PEAP.
O Cisco LEAP (Cisco Light EAP) é uma autenticação 802.1X de servidor e de cliente efectuada através de uma palavra-passe de início de sessão fornecida pelo utilizador. Quando um ponto de acesso sem fios comunica com um RADIUS activado por Cisco LEAP (servidor Cisco Secure Access Control Server [ACS]), o Cisco LEAP proporciona controlo de acesso mediante a autenticação mútua entre os adaptadores WiFi do cliente e as redes sem fios, fornecendo chaves de encriptação de utilizador individuais e dinâmicas que ajudam a proteger a privacidade dos dados transmitidos.
A funcionalidade de pontos de acesso não controlados da Cisco proporciona protecção de segurança contra a introdução de um ponto de acesso não controlado que poderia imitar um ponto de acesso legítimo numa rede por forma a extrair informação sobre as credenciais dos utilizadores e os protocolos de autenticação que poderão comprometer a segurança. Esta funcionalidade só funciona com a autenticação LEAP da Cisco. A tecnologia 802.11 padrão não protege uma rede contra a introdução de um ponto de acesso não controlado. Consulte Autenticação LEAP para obter mais informações.
Alguns pontos de acesso (por exemplo, Cisco 350 ou Cisco 1200) suportam ambientes nos quais nem todas as estações cliente suportam encriptação WEP. Tal denomina-se modo de células mistas. Quando estas redes sem fios funcionam em modo de "encriptação opcional", as estações cliente que aderem em modo WEP enviam todas as mensagens encriptadas. As estações que aderem em modo padrão enviam todas as mensagens sem encriptação. Estes pontos de acesso transmitem a indicação de que a rede não utiliza a encriptação, mas permite a adesão de clientes que utilizam o modo WEP. Quando a opção de células mistas está activada num perfil, permite ligar a pontos de acesso configurados para “encriptação opcional".
O CKIP (Cisco Key Integrity Protocol) é um protocolo de segurança proprietário da Cisco para encriptação em suportes 802.11. O CKIP utiliza as seguintes funcionalidades para melhorar a segurança 802.11 em modo de infra-estrutura:
NOTA: O CKIP não é utilizado com a autenticação de rede WPA/WPA2 Pessoal/Empresarial.
NOTA: O CKIP só é suportado através da utilização do utilitário de ligação WiFi no Windows XP.
Quando uma rede local sem fios está configurada para restabelecer a ligação rapidamente, um dispositivo cliente activado por LEAP pode efectuar o roaming de um ponto de acesso para outro sem envolver o servidor principal. A utilização do CCKM (Cisco Centralized Key Management) permite a um ponto de acesso configurado para fornecer serviços WDS (Wireless Domain Services) substituir o servidor RADIUS e autenticar o cliente sem qualquer atraso perceptível nas aplicações de voz ou outras com requisitos de tempo.
Alguns pontos de acesso (por exemplo, Cisco 350 ou Cisco 1200) suportam ambientes nos quais nem todas as estações cliente suportam encriptação WEP. Tal denomina-se modo de células mistas. Quando estas redes sem fios funcionam em modo de "encriptação opcional" as estações cliente que aderem em modo WEP enviam todas as mensagens encriptadas. As estações que aderem em modo padrão enviam todas as mensagens sem encriptação. Estes pontos de acesso transmitem a indicação de que a rede não utiliza a encriptação, mas permite a adesão dos clientes que utilizam o modo WEP. Quando a opção Células mistas está activada num perfil, permite ligar a pontos de acesso configurados para "encriptação opcional".
Quando esta funcionalidade estiver activa, o adaptador WiFi fornece informações de gestão de rádio à infra-estrutura Cisco. Se o utilitário 'Gestão de rádio da Cisco' for utilizado na infra-estrutura, ele configura os parâmetros de rádio e detecta as interferências e os pontos de acesso não controlados.
À semelhança do EAP-TTLS e do PEAP, o EAP-FAST utiliza actividades de túnel para proteger o tráfego. A diferença principal é que o EAP-FAST não utiliza certificados na autenticação. O fornecimento no EAP-FAST é negociado apenas pelo cliente como o primeiro intercâmbio de comunicação quando o EAP-FAST é pedido a partir do servidor. Se o cliente não tiver uma credencial de acesso protegido (PAC) confidencial pré-partilhada, ele pode iniciar um intercâmbio EAP-FAST de fornecimento para obter uma PAC dinamicamente a partir do servidor.
O EAP-FAST tem dois métodos de fornecimento da PAC: a entrega manual, através de um mecanismo seguro fora da banda, e o fornecimento automático.
O método EAP-FAST pode ser dividido em duas partes: fornecimento e autenticação. A fase de fornecimento envolve a entrega inicial da PAC ao cliente. Esta fase só necessita de ser efectuada uma vez por cada cliente e utilizador.